La Directiva NIS2 establece un marco común de ciberseguridad para toda la Unión Europea (UE). Aunque la ley española de transposición sigue en tramitación parlamentaria, las obligaciones de fondo ya existen y las administraciones locales deben saber en qué les afecta.
La Directiva NIS2 incluye a la administración pública como sector de alta criticidad. El anteproyecto de ley español prevé que los municipios de más de 20.000 habitantes y sus entidades dependientes queden en el ámbito de aplicación directa. Por lo que respecta a los municipios más pequeños, éstos no están automáticamente exentos si prestan servicios esenciales como el suministro de agua, la gestión de residuos o infraestructuras digitales compartidas.
El Centro Criptológico Nacional (CCN) ha publicado en su web un documento donde reconoce que las medidas de gestión de riesgos exigidas por la Directiva NIS2 encuentran correspondencia directa en las medidas del Esquema Nacional de Seguridad (ENS). Una entidad que ha implementado elENTE en categoría Media o Alta cubre, en gran medida, los requisitos estructurales de NIS2.
La situación en Cataluña está mejorando pero es necesario avanzar mucho más en este sentido.
La Agencia de Ciberseguridad de Cataluña como Órgano de Auditoría Técnica (OAT), y Localret, con el acuerdo marco de servicios de Ciberseguridad, están ayudando a los municipios de Cataluña a certificarse en el ENS para incrementar así su resiliencia y cumplir con la regulación.
Desde la AOC entendemos que dar este paso no es sólo una obligación normativa, es la mejor inversión que se puede realizar para garantizar que los servicios digitales sean resilientes y de confianza para los ciudadanos.
Por este motivo, este año 2026 se llevará a cabo la certificación de la totalidad de los servicios de la AOC en el Esquema Nacional de Seguridad de Nivel Alto, asegurando así tanto el cumplimiento normativo como la resiliencia de las plataformas que sostienen los servicios.
